服务器安全设置.docx

资源描述

服务器安全设置.docx

《服务器安全设置.docx》由会员分享，可在线阅读，更多相关《服务器安全设置.docx（17页珍藏版）》请在冰豆网上搜索。

服务器安全设置.docx

服务器安全设置

一、用户安全设置

1、禁用Guest账号

在计算机管理的用户里面把Guest账号禁用。

为了保险起见，最好给Guest加一个复杂的密码。

你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。

2、限制不必要的用户

去掉所有的DuplicateUser用户、测试用户、共享用户等等。

用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。

这些用户很多时候都是黑客们入侵系统的突破口。

3、创建两个管理员账号

创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators权限的用户只在需要的时候使用。

4、把系统Administrator账号改名

大家都知道，Windows2000的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。

尽量把它伪装成普通用户，比如改成Guesycludx。

5、创建一个陷阱用户

什么是陷阱用户?

即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。

这样可以让那些Hacker们忙上一段时间，借此发现它们的入侵企图。

6、把共享文件的权限从Everyone组改成授权用户

任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。

7、开启用户策略

使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

8、不让系统显示上次登录的用户名

默认情况下，登录对话框中会显示上次登录的用户名。

这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。

修改注册表可以不让对话框里显示上次登录的用户名。

方法为：

打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。

密码安全设置

1、使用安全密码

一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。

因此，要注意密码的复杂性，还要记住经常改密码。

2、设置屏幕保护密码

这是一个很简单也很有必要的操作。

设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

3、开启密码策略

注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天。

4、考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。

如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

二、一般网站最容易发生的故障的解决方法

1.出现提示网页无法显示,500错误的时候，又没有详细的提示信息

可以进行下面的操作显示详细的提示信息：

IE－工具－internet选项－高级－友好的http错误信息提示，将这选项前面不打勾，则可以看到详细的提示信息了

以下是解决500错误的方法。

请复制以下信息并保存为：

解决IIS6.0的（asp不能访问）请求的资源在使用中的办法.bat

然后在服务器上执行一下，你的ASP就又可以正常运行了。

2.系统在安装的时候提示数据库连接错误

一是检查const文件的设置关于数据库的路径设置是否正确

二是检查服务器上面的数据库的路径和用户名、密码等是否正确

3.IIS不支持ASP解决办法：

IIS的默认解析语言是否正确设定？

将默认改为VBSCRIPT，进入IIS，右键单击默认Web站点，选择属性，在目录安全性选项卡的匿名访问和身份验证控制中，单击编辑，在身份验证方法属性页中，去掉匿名访问的选择试试.

4.FSO没有权限

FSO的权限问题，可以在后台测试是否能删除文件，解决FSO组件是否开启的方法如下：

首先在系统盘中查找scrrun.dll，如果存在这个文件，请跳到第三步，如果没有，请执行第二步。

在安装文件目录i386中找到scrrun.dl_，用winrar解压缩，得scrrun.dll，然后复制到（你的系统盘）C:

\windows\system32\目录中。

运行regsvr32scrrun.dll即可。

如果想关闭FSO组件，请运行regsvr32/uscrrun.dll即可

关于服务器FSO权限设置的方法，给大家一个地址可以看看详细的操作：

5.MicrosoftJETDatabaseEngine错误'80040e09'不能更新。

数据库或对象为只读

原因分析：

未打开数据库目录的读写权限

解决方法：

（1）检查是否在IIS中对整个网站打开了“写入”权限，而不仅仅是数据库文件。

（2）检查是否在WIN2000的资源管理器中，将网站所在目录对EveryOne用户打开所有权限。

具体方法是：

打开“我的电脑”----找到网站所在文件夹----在其上点右键----选“属性”-----切换到“安全性”选项卡，在这里给EveryOne用户所有权限。

注意：

如果你的系统是XP，请先点“工具”----“文件夹选项”----“查看”-----去掉“使用简单文件共享”前的勾，确定后，文件夹“属性”对话框中才会有“安全性”这一个选项卡。

6.验证码不能显示

原因分析：

造成该问题的原因是ServicePack2为了提高系统的稳定性，默认状态下是屏蔽了对XBM，也即是x-bitmap格式的图片的显示，而这些验证码恰恰是XBM格式的，所以显示不出来了。

解决办法：

解决的方法其实也很简单，只需在系统注册表中添加键值"BlockXBM"=dword:

00000000就可以了，具体操作如下：

1》打开系统注册表；

2》依次点开HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\InternetExplorer\\Security；

3》在屏幕右边空白处点击鼠标右键，选择新建一个名为“BlockXBM”为的DWORD键，其值为默认的0。

4》退出注册表编辑器。

如果操作系统是2003系统则看是否开启了父路径

7.windows2003配置IIS支持.shtml

要使用Shtml的文件，则系统必须支持SSI，SSI必须是管理员通过Web服务扩展启用的

windows2003安装好IIS之后默认是支持.shtml的，只要在“WEB服务扩展”允许“在服务器前端的包含文件”即可

8.如何去掉“处理URL时服务器出错。

请与系统管理员联系。

”

如果是本地服务器的话，请右键点IIS默认网站，选属性，在主目录里点配置，选调试。

选中向客户端发送详细的ASP错误消息。

然后再调试程序，此时就可以显示出正确的错误代码。

安全策略自动更新命令：

GPUpdate/force（应用组策略自动生效不需重新启动）

　　开始菜单—>管理工具—>本地安全策略

　　A、本地策略——>审核策略

　　审核策略更改　　　成功　失败　　

　　审核登录事件　　　成功　失败

　　审核对象访问　　　　　　失败

　　审核过程跟踪　　　无审核

　　审核目录服务访问　　　　失败

　　审核特权使用　　　　　　失败

　　审核系统事件　　　成功　失败

　　审核账户登录事件　成功　失败

　　审核账户管理　　　成功　失败

　　B、本地策略——>用户权限分配

　　关闭系统：

只有Administrators组、其它全部删除。

　　通过终端服务拒绝登陆：

加入Guests、User组

　　通过终端服务允许登陆：

只加入Administrators组，其他全部删除

　　C、本地策略——>安全选项

　　交互式登陆：

不显示上次的用户名　　　　　　　启用

　　网络访问：

不允许SAM帐户和共享的匿名枚举　　启用

　　网络访问：

不允许为网络身份验证储存凭证　　　启用

　　网络访问：

可匿名访问的共享　　　　　　　　　全部删除

　　网络访问：

可匿名访问的命　　　　　　　　　　全部删除

　　网络访问：

可远程访问的注册表路径　　　　　　全部删除

　　网络访问：

可远程访问的注册表路径和子路径　　全部删除

　　帐户：

重命名来宾帐户　　　　　　　　　　　　重命名一个帐户

　　帐户：

重命名系统管理员帐户　　　　　　　　　重命名一个帐户

UI中的设置名称

企业客户端台式计算机

企业客户端便携式计算机

高安全级台式计算机

高安全级便携式计算机

帐户:

使用空白密码的本地帐户只允许进行控制台登录

已启用

帐户:

重命名系统管理员帐户

推荐

设备:

允许不登录移除

已禁用

已启用

已禁用

设备:

允许格式化和弹出可移动媒体

Administrators,InteractiveUsers

Administrators

设备:

防止用户安装打印机驱动程序

已启用

已禁用

已启用

已禁用

设备:

只有本地登录的用户才能访问CD-ROM

已禁用

已启用

设备:

只有本地登录的用户才能访问软盘

已启用

设备:

未签名驱动程序的安装操作

允许安装但发出警告

禁止安装

域成员:

需要强（Windows2000或以上版本）会话密钥

已启用

交互式登录:

不显示上次的用户名

已启用

交互式登录:

不需要按CTRL+ALT+DEL

已禁用

交互式登录:

用户试图登录时消息文字

此系统限制为仅授权用户。

尝试进行XX访问的个人将受到起诉。

此系统限制为仅授权用户。

尝试进行XX访问的个人将受到起诉。

此系统限制为仅授权用户。

尝试进行XX访问的个人将受到起诉。

此系统限制为仅授权用户。

尝试进行XX访问的个人将受到起诉。

交互式登录:

用户试图登录时消息标题

继续在没有适当授权的情况下使用是违法行为。

交互式登录:

可被缓存的前次登录个数（在域控制器不可用的情况下）

交互式登录:

在密码到期前提示用户更改密码

14天

交互式登录:

要求域控制器身份验证以解锁工作站

已禁用

已启用

已禁用

交互式登录:

智能卡移除操作

锁定工作站

Microsoft网络客户:

数字签名的通信（若服务器同意）

已启用

Microsoft网络客户:

发送未加密的密码到第三方SMB服务器。

已禁用

Microsoft网络服务器:

在挂起会话之前所需的空闲时间

15分钟

Microsoft网络服务器:

数字签名的通信（总是）

已启用

Microsoft网络服务器:

数字签名的通信（若客户同意）

已启用

Microsoft网络服务器:

当登录时间用完时自动注销用户

已启用

已禁用

已启用

已禁用

网络访问:

允许匿名SID/名称转换

已禁用

网络访问:

不允许SAM帐户和共享的匿名枚举

已启用

网络访问:

不允许SAM帐户和共享的匿名枚举

已启用

网络访问:

不允许为网络身份验证储存凭据或.NETPassports

已启用

网络访问:

限制匿名访问命名管道和共享

已启用

网络访问:

本地帐户的共享和安全模式

经典-本地用户以自己的身份验证

网络安全:

不要在下次更改密码时存储LANManager的哈希值

已启用

网络安全:

在超过登录时间后强制注销

已启用

已禁用

已启用

已禁用

网络安全:

LANManager身份验证级别

仅发送NTLMv2响应

仅发送NTLMv2响应\拒绝LM&NTLM

网络安全:

基于NTLMSSP（包括安全RPC）客户的最小会话安全

没有最小

要求NTLMv2会话安全要求128-位加密

网络安全:

基于NTLMSSP（包括安全RPC）服务器的最小会话安全

没有最小

要求NTLMv2会话安全要求128-位加密

故障恢复控制台:

允许自动系统管理级登录

已禁用

故障恢复控制台:

允许对所有驱动器和文件夹进行软盘复制和访问

已启用

已禁用

关机:

允许在未登录前关机

已禁用

关机:

清理虚拟内存页面文件

已禁用

已启用

系统加密:

使用FIPS兼容的算法来加密，哈希和签名

已禁用

系统对象:

由管理员（Administrators）组成员所创建的对象默认所有者

对象创建者

系统设置:

为软件限制策略对Windows可执行文件使用证书规则

已禁用

服务器安全设置之_IP安全策略（仅仅列出需要屏蔽或阻止的端口或协议）

日期：

2006-7-6 点击：

191 作者：

本站收集来源：

互联网【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

协议

IP协议端口

源地址

目标地址

描述

方式

ICMP

阻止

UDP

135

任何IP地址

我的IP地址

135-UDP

阻止

UDP

136

任何IP地址

我的IP地址

136-UDP

阻止

UDP

137

任何IP地址

我的IP地址

137-UDP

阻止

UDP

138

任何IP地址

我的IP地址

138-UDP

阻止

UDP

139

任何IP地址

我的IP地址

139-UDP

阻止

TCP

445

任何IP地址-从任意端口

我的IP地址-445

445-TCP

阻止

UDP

445

任何IP地址-从任意端口

我的IP地址-445

445-UDP

阻止

UDP

任何IP地址-从任意端口

我的IP地址-69

69-入

阻止

UDP

我的IP地址-69

任何IP地址-任意端口

69-出

阻止

TCP

4444

任何IP地址-从任意端口

我的IP地址-4444

4444-TCP

阻止

TCP

1026

我的IP地址-1026

任何IP地址-任意端口

灰鸽子-1026

阻止

TCP

1027

我的IP地址-1027

任何IP地址-任意端口

灰鸽子-1027

阻止

TCP

1028

我的IP地址-1028

任何IP地址-任意端口

灰鸽子-1028

阻止

UDP

1026

我的IP地址-1026

任何IP地址-任意端口

灰鸽子-1026

阻止

UDP

1027

我的IP地址-1027

任何IP地址-任意端口

灰鸽子-1027

阻止

UDP

1028

我的IP地址-1028

任何IP地址-任意端口

灰鸽子-1028

阻止

TCP

我的IP地址-从任意端口

任何IP地址-到21端口

阻止tftp出站

阻止

TCP

我的IP地址-99

任何IP地址-任意端口

阻止99shell

阻止

以上是IP安全策略里的设置，可以根据实际情况，增加或删除端口。

服务器安全设置之_服务器安全和性能配置

把下面文本保存为:

windows2000-2003服务器安全和性能注册表自动配置文件.reg运行即可。

功能：

可抵御DDOS攻击2-3万包，提高服务器TCP-IP整体安全性能（效果等于软件防火墙，节约了系统资源）

服务器安全设置之_组件安全设置篇（非常重要!

）

日期：

2006-7-6 点击：

141 作者：

本站收集来源：

互联网【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

A、卸载WScript.Shell和Shell.application组件，将下面的代码保存为一个.BAT文件执行（分2000和2003系统）

windows2000.bat

windows2003.bat

B、改名不安全组件，需要注意的是组件的名称和Clsid都要改，并且要改彻底了，不要照抄，要自己改

【开始→运行→regedit→回车】打开注册表编辑器

然后【编辑→查找→填写Shell.application→查找下一个】

用这个方法能找到两个注册表项：

{13709620-C279-11CE-A49E-444553540000}和Shell.application。

第一步：

为了确保万无一失，把这两个注册表项导出来，保存为xxxx.reg文件。

第二步：

比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000改名为13709620-C279-11CE-A49E-444553540001

Shell.application改名为Shell.application_nohack

第三步：

那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。

这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

其实，只要把对应注册表项导出来备份，然后直接改键名就可以了，

改好的例子

建议自己改

应该可一次成功

评论：

WScript.Shell和Shell.application组件是脚本入侵过程中，提升权限的重要环节，这两个组件的卸载和修改对应注册键名，可以很大程度的提高虚拟主机的脚本安全性能，一般来说，ASP和php类脚本提升权限的功能是无法实现了，再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置，虚拟主机因该说，安全性能有非常大的提高，黑客入侵的可能性是非常低了。

注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。

下面是另外一种设置，大同小异。

　　一、禁止使用FileSystemObject组件

　　FileSystemObject可以对文件进行常规操作,可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

　　改名为其它的名字，如：

改为FileSystemObject_ChangeName

　　自己以后调用的时候使用这个就可以正常调用此组件了

　　也要将clsid值也改一下

　　HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值

　　也可以将其删除，来防止此类木马的危害。

　　2000注销此组件命令：

RegSrv32/uC:

\WINNT\SYSTEM\scrrun.dll

　　2003注销此组件命令：

RegSrv32/uC:

\WINDOWS\SYSTEM\scrrun.dll

　　如何禁止Guest用户使用scrrun.dll来防止调用此组件？

　　使用这个命令：

caclsC:

\WINNT\system32\scrrun.dll/e/dguests

　　二、禁止使用WScript.Shell组件

　　WScript.Shell可以调用系统内核运行DOS基本命令

　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

　　改名为其它的名字，如：

改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName

　　自己以后调用的时候使用这个就可以正常调用此组件了

　　也要将clsid值也改一下

　　HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值

　　HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值

　　也可以将其删除，来防止此类木马的危害。

　　三、禁止使用Shell.Application组件

　　Shell.Application可以调用系统内核运行DOS基本命令

　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　HKEY_CLASSES_ROOT\Shell.Application\

　　及

　　HKEY_CLASSES_ROOT\Shell.Application.1\

　　改名为其它的名字，如：

改为Shell.Application_ChangeName或Shell.Application.1_ChangeName

　　自己以后调用的时候使用这个就可以正常调

展开阅读全文